هجمات OceanLotus الإلكترونية تستهدف المستثمرين في فيتنام

كشفت تقارير أمنية عن هجمات OceanLotus الإلكترونية التي تستهدف المستثمرين في فيتنام عبر برمجية SPECTRALVIPER الخبيثة ومنصة FireAnt الشهيرة.

ما هي تفاصيل هجمات OceanLotus على مستثمري فيتنام؟

تُعد مجموعة OceanLotus (المعروفة أيضاً باسم APT32) واحدة من أكثر مجموعات التهديد تطوراً في المنطقة، وقد رصد خبراء الأمن تحولاً استراتيجياً في نشاطها مؤخراً. وفقاً لما تابعه فريق تيكبامين، فقد شنت المجموعة حملتين منفصلتين استهدفتا كيانات محلية ومستثمري البورصة في فيتنام.

تركزت الهجمات على قطاعات حيوية شملت شركات البنية التحتية ومنصات التداول المالي، مما يشير إلى رغبة المجموعة في جمع معلومات اقتصادية دقيقة وتوسيع نطاق التجسس المحلي.

الجدول الزمني لأبرز الحملات الأخيرة:

• منذ منتصف 2024 وحتى فبراير 2026: استهداف شركة إنشاءات وتخطيط بنية تحتية فيتنامية كبرى.
• من أكتوبر 2025 وحتى مارس 2026: هجوم "سلسلة التوريد" الذي استهدف منصة FireAnt Metakit الشهيرة.

كيف تعمل برمجية SPECTRALVIPER الخبيثة؟

تعتمد الهجمات الجديدة على باب خلفي (Backdoor) متطور يُعرف باسم SPECTRALVIPER. تم توثيق هذه البرمجية لأول مرة في منتصف عام 2023، وهي تمنح المهاجمين قدرة عالية على التجسس والتحكم في الأنظمة المصابة عن بُعد.

أدوات القرصنة المستخدمة في الهجوم:

• SPECTRALVIPER: الباب الخلفي الرئيسي للسيطرة والتجسس.
• SOUNDBITE: أداة متطورة تُعرف أيضاً في الأوساط التقنية باسم Denis.
• PHOREAL: برمجية خبيثة تُستخدم لسرقة البيانات وتُعرف باسم Rizzo.
• WINDSHIELD: أداة تجسس شاملة يُطلق عليها اسم Remy.

ما خطورة الهجوم على منصة فاير آنت (FireAnt)؟

تعتبر منصة فاير آنت ميتاكيت (FireAnt Metakit) أداة برمجية أساسية يستخدمها مستثمرو الأسهم في فيتنام لمتابعة تحركات السوق وتحليل البيانات. استغلال هذه المنصة في هجوم سلسلة توريد يعني أن المستخدمين قاموا بتحميل البرمجيات الخبيثة معتقدين أنها تحديثات رسمية.

يشير تقرير تيكبامين إلى أن هذا النوع من الهجمات يمثل تحدياً كبيراً لأنظمة الحماية، حيث يتم استغلال الثقة بين المطور والمستخدم. وقد اكتشف الباحثون تشابهاً كبيراً بنسبة 64% بين أدوات الإسقاط المستخدمة في هذه الحملة وبين برمجيات خبيثة أخرى رُصدت مؤخراً على أنظمة ويندوز ولينكس.

من هي مجموعة OceanLotus وما تاريخ نشاطها؟

تنشط مجموعة OceanLotus منذ عام 2012 على الأقل، ولها سجل حافل في عمليات التجسس الرقمي المعقدة. في السابق، ركزت المجموعة نشاطها على استهداف الصين، بالإضافة إلى منظمات المجتمع المدني ووسائل الإعلام والمدافعين عن حقوق الإنسان.

محطات بارزة في تاريخ المجموعة:

• في عام 2020: ربطت شركة ميتا (فيسبوك سابقاً) أنشطة المجموعة بشركة تقنية فيتنامية تدعى CyberOne Group.
• التكتيكات المستخدمة: الاعتماد على تقنيات "ثقوب الري" لجمع بيانات زوار المواقع المستهدفة وتصنيفهم.
• الأهداف الحالية: التحول نحو التجسس الاقتصادي واستهداف الشركات العامة والمستثمرين لضمان تفوق استخباراتي محلي.

في الختام، يظهر نشاط المجموعة الأخير أن التهديدات السيبرانية لم تعد تقتصر على سرقة البيانات الشخصية فقط، بل تمتد لتشمل البنية التحتية الاقتصادية، مما يتطلب من المستثمرين والشركات تعزيز دفاعاتهم الرقمية واستخدام أدوات تحقق صارمة لضمان سلامة برمجياتهم.